Questão nº 73

Questão de Tecnologia da Informação · FGV CGE-SP 2025 (nº 73)

FGV2025Auditor Estadual de Controle - Tecnologia da InformaçãoTecnologia da Informação
Gabarito: Cver comentário ↓

Uma equipe identificou que um servidor web crítico foi comprometido por um atacante que explorou uma vulnerabilidade de aplicação. A análise inicial revelou que o atacante instalou uma webshell e está usando o servidor para movimentação lateral na rede. O servidor processa transações financeiras e está em produção atendendo clientes.
O analista de segurança precisa decidir a ação imediata mais adequada na fase de contenção do incidente, conforme boas práticas de resposta a incidentes (NIST SP 800-61 e ISO/IEC 27035).
Assinale a opção que apresenta a estratégia de contenção apropriada para esse cenário.

Resposta comentada

Gabarito Alternativa C

A fase de contenção em resposta a incidentes de segurança busca limitar o dano e impedir a propagação do ataque, equilibrando a necessidade de parar o invasor com a manutenção da operação dos sistemas críticos.

  • A) Incorreta: Desligar imediatamente um servidor crítico em produção causa indisponibilidade total do serviço, o que pode ter um impacto financeiro e operacional severo, especialmente para transações financeiras. Embora pare o atacante, é uma medida drástica que não considera a continuidade do negócio e pode ser evitada com contenção mais estratégica.
  • B) Incorreta: Manter o servidor em operação normal com um atacante dentro, realizando movimentação lateral e processando transações financeiras, é extremamente arriscado. Isso permite que o atacante cause mais danos, exfiltre dados sensíveis ou comprometa outros sistemas, priorizando a coleta de evidências em detrimento da segurança imediata.
  • (C) Correta: Esta é a estratégia mais equilibrada e alinhada com as boas práticas. A contenção segmentada (isolando da rede interna via firewall) impede a movimentação lateral do atacante, enquanto a manutenção do acesso externo minimiza o impacto nos clientes e na receita. A investigação forense em memória coleta evidências voláteis cruciais antes de qualquer reinicialização ou desligamento, e a consulta a stakeholders garante que futuras ações sejam planejadas com o menor impacto possível.
  • D) Incorreta: A reimagem imediata com backup limpo sem análise forense detalhada é uma abordagem de "apagar e recomeçar" que ignora a causa raiz e o escopo total do incidente. Sem entender como o atacante entrou e o que ele fez, a mesma vulnerabilidade pode ser explorada novamente, e outros sistemas comprometidos podem passar despercebidos.
  • E) Incorreta: A notificação à ANPD e a comunicação pública são passos importantes para a conformidade (LGPD), mas são geralmente realizados após ou em paralelo às ações de contenção e erradicação. A prioridade imediata é estancar o ataque e proteger os sistemas, não a comunicação externa, que pode ser prematura e imprecisa sem informações completas.

Fonte: FGV CGE-SP 2025 Auditor Estadual de Controle - Tecnologia da Informação (Caderno Tipo 1). Reproduzida para fins de estudo.

Continue estudando

Estudar é izi

Pratique milhares de questões como esta, de graça, com explicação e gamificação no Quizinho.

Estudar de graça no Quizinho